322
技術社區[雲棲]
網絡安全法下的雲數據安全思考與實踐
8月24日阿裏雲數據庫技術峰會上,安華金和雲安全事業部專家肖誌昱帶來雲數據安全的思考。本文主要從安全事件實例開始談起,進而分析了我們需要什麼樣的安全,最後分享了如何才能做到安全。
數據安全,緣何雷聲大雨點小
雲數據安全的聲音很多,各種消息層出不窮,但從市場的反響來看,遠遠沒有想象的那麼熱鬧。在我們安全圈廠商流行一句話:說時---重要;做時---次要;忙時---不要。出事時---“哎呦,我要!我還要!!!”
安全事件
無論是個人信息泄露還是企業等其他數據泄露,都不僅僅是損失錢,甚至危及生命財產安全。那麼,為什麼安全這麼重要,但市場反響不特別熱烈呢?主要有以下兩種原因:
1. 僥幸心理。我的數據沒多少,應該沒人偷;網上那麼多應用,那麼多數據,哪會輪到我;公司數據丟了就丟了,與我有啥關係。
2. 茫然心理。我有多少個數據庫?有多少敏感數據?我的數據值多少錢?數據如果泄露了會有多大危害?
2017年6月1日,網絡安全法發布了,作為網絡安全的基本法,它讓網絡安全工作 有
法可依 ,同時也要求人們 有法必依 。對企業來講,可能麵臨罰款、停業整頓和吊銷執照,對個人來講,也可能麵臨罰款、拘役和從業資格限製。
我們需要什麼樣的安全
數據安全麵臨的問題概括為兩點,一是防外賊,一是防內鬼。外賊包括SQL注入、拖庫,內鬼包括內部運維人員、第三方開發人員。從實際了解情況來看,內鬼的危害更大。
有了WAF 、 抗DDos ,為什麼還需要防外賊?
傳統安全方案缺陷有以下幾點:
1. 網絡防火牆產品不對數據庫通訊協議進行控製
2. IPS/IDS/網絡審計並不能防範那些看起來合法的數據訪問
3. WAF係統僅針對HTTP協議進行檢測控製,繞過WAF有150多種方法
4. 核心數據庫防護措施被忽略。
大多數係統前端層麵的安全保護措施並無法覆蓋所有的安全攻擊和竊取——必須引入數據層麵的保護作為最後一道安全防線。
我們為什麼要防內鬼呢?
如果DBA刪庫跑路,會導致公司損失慘重。
對我們來說,數據庫運維麵臨很多安全隱患。比如:
- 數據庫口令暴露:運維、開發知曉數據庫口令;任意客戶端登錄;無統一訪問出入口
- 存在高危操作:隨意操作數據庫對象;惡意操作行為;誤操作、高危操作
- 用戶身份不清:公用設備、公用賬戶
怎樣去解決呢?安全運維需要規範運維行為,具體包括三點:
1. 身份識別:解決口令外泄,區分人員身份
2. 訪問審批:預防高危操作,避免越權操作
3. 流程管理:規範流程管理,有效追責定責
怎麼做才安全
雖然雲計算的概念出現了十多年,雲計算的發展也經過了幾年,但是雲應用的時間並不長,大家對雲的理解不太一樣,雲的高學習曲線讓一般用戶對安全建設無從著手。
這是一個真實的數據梳理案例(某大型行業雲典型數據梳理成果),實際梳理結果比客戶認知結果多很多,這存在著極大的安全威脅。
基於以上情況,我們提出了數據安全治理框架的理念。首先幫助用戶進行數據安全狀況的摸底,幫助用戶梳理敏感數據,了解數據安全現狀;根據梳理結果和敏感數據等級,有針對性的實施合理的數據保護;同時做好防護過程的監控,稽核與審計,確保數據保護效果,進一步優化數據保護措施,及時發現問題、解決問題。
目前,在雲上的數據安全治理產品線如圖所示。
梳理產品和數據庫掃描產品是前期狀況摸底,可以幫助用戶了解到底有多少個數據庫,多少敏感數據,核心資產有多少;漏洞掃描能看到現在數據庫到底有多少風險,什麼樣的風險, 中間的產品分別針對性的進行數據防護,比如防黑客攻擊、數據泄露追蹤溯源等;數據庫安全審計是對所有數據庫訪問行為的監控。
圖中可以看出雲數據安全合規性實踐與網絡安全法的契合點。
我們所有產品都已經適配多雲環境,目前產品已經在 阿裏雲、騰訊雲、華為雲、青雲、Azure、百度、AWS陸續上架。雲上典型用戶包括人人聚財、萬盈金融、利民網等多個企業。
我們的理念是:不能幫用戶解決實際問題的方案,就是耍流氓!我們的口號是拚產品、拚服務,做中國最好的雲數據安全提供商。
最後更新:2017-09-02 15:32:37